Forscher hackt Apple und Microsoft

Ein Forscher behauptet auf Medium, mit einer neuartigen Supply-Chain-Attacke in die internen Systeme großer Unternehmen wie Apple und Microsoft eingedrungen zu sein.

Alex Biran erstellte bösartige Node-Pakete und lud sie unter unbekannten Namen in die npm-Registry hoch. Die Node-Pakete sammelten durch ihr Preinstall-Skript Informationen über die Rechner, auf denen sie installiert wurden.

Als nächstes fand Biran einen Weg, die Pakete dazu zu bringen, Informationen an ihn zurückzusenden.

„Da ich wusste, dass die meisten der möglichen Ziele tief in gut geschützten Unternehmensnetzwerken liegen würden, dachte ich, dass DNS-Exfiltration der richtige Weg wäre“, schrieb Biran.

Die Daten wurden hexkodiert und als Teil einer DNS-Anfrage verwendet, die den benutzerdefinierten autoritativen Namensserver des Forschers entweder direkt oder über zwischengeschaltete Resolver erreichte. Biran fand dann private Paketnamen innerhalb von JavaScript-Dateien.

„Apple, Yelp und Tesla sind nur einige Beispiele für Unternehmen, deren interne Namen auf diese Weise offengelegt wurden“, schrieb Biran.

In der zweiten Hälfte des Jahres 2020 scannte Biran Millionen von Domains, die zu den anvisierten Unternehmen gehörten, und extrahierte Hunderte von JavaScript-Paketnamen, die nicht in der npm-Registry beansprucht worden waren. Er lud seinen bösartigen Code auf die Paket-Hosting-Dienste hoch und erreichte eine Erfolgsquote, die er als „einfach erstaunlich“ bezeichnete.

„Das Besetzen gültiger interner Paketnamen war eine fast todsichere Methode, um in die Netzwerke einiger der größten Tech-Firmen da draußen einzudringen, Remote-Code-Ausführung zu erlangen und es Angreifern möglicherweise zu ermöglichen, Hintertüren während der Builds hinzuzufügen“, sagte Biran.

„Diese Art von Schwachstelle, die ich angefangen habe, als Abhängigkeitsverwirrung zu bezeichnen, wurde bis heute in mehr als 35 Unternehmen entdeckt, und zwar in allen drei getesteten Programmiersprachen.“

Die überwiegende Mehrheit der betroffenen Unternehmen beschäftigte mehr als tausend Mitarbeiter.

„Dies ist ein unglaublich ernstes, branchenweites Problem“, bestätigt Craig Young, leitender Sicherheitsforscher bei Tripwire.

„Wenn Software-Entwicklungsfirmen ihren Mitarbeitern erlauben, beliebige Coding-Module aus öffentlichen Repositories herunterzuladen und damit zu arbeiten, setzen sie sich sowohl Sicherheits- als auch rechtlichen Risiken aus. In diesem Fall war es ein Forscher mit einer harmlosen ‚Phone Home‘-Nutzlast, aber es hätte genauso gut eine APT sein können, die ein Malware-Implantat einsetzt, oder ein Patent-Troll, der einen kommerziell lizenzierten Algorithmus einsetzt.“